安全廠商Promon表示,StrandHogg漏洞可讓惡意程式假冒合法app,以監控或竊取受害裝置資料。圖片來源/Promon

研究人員發現Android作業系統一項危險漏洞StrandHogg,可讓惡意程式假冒合法App下載後監控用戶或竊取資訊、重要檔案。這項漏洞已經遭36款惡意App開採。更糟的是,目前漏洞尚未修補好。

挪威安全廠商Promon首先發現這項漏洞。一旦被開採,任何app,包括惡意程式都可冒充合法程式執行,無需根權限即可進行高明攻擊。所有Android版本都受本漏洞影響,包括最新的Android 10(但只有Android 6.0以上版本會遭騙取權限)。

StrandHogg位於Android中一項多工、名為taskAffinity的控制元件中,這個元件允許Android OS同時跑多項行程,並切換不同app顯示於用戶螢幕上。簡單來說,開採StrandHogg可讓惡意程式綁架一個或多個合法app,當合法app透過Launcher啟動時,惡意程式可以在其掩蓋下背景執行以遂其目的,但使用者仍以為自己正在跑合法程式。

這些惡意程式一旦進入用戶裝置,可能啟動麥克風竊聽用戶、開啟相機偷拍照、偷錄電話內容、以釣魚登入網頁騙取登入帳密,或是存取簡訊、相片、重要檔案、通訊錄或是電話通聯紀錄。

研究人員相信,市調公司42 Matters列出的500大最受歡迎App,都有被StrangHogg綁架的風險。另外,有36款惡意app證實已經開採本漏洞,包括2017年肆虐美國、拉丁美洲、歐洲及亞太等地的BankBot網銀木馬程式。

研究人員蒐集到的惡意程式樣本,並非來自Google Play Store,但是是由Play Store上散佈的dropper app或downloader下載。這些app現在已經從Play Store移除,但研究人員相信還是會不斷有類似的惡意app上傳到Play Store,且往往在被識破前身分前,已經廣為流傳。

Promo對ZDNet說,該公司今年夏天通知Google有此一漏洞,但Google過了90天寛限期仍未修補,促使其公布漏洞。

Bleeping Computer 引述研究人員指出,目前沒有確切方法可偵測Android系統上的StrangHogg是否遭開採,也沒有方法可以防堵。唯一方法是用戶得留意,像是app要求登入頁面是否有異樣,是否有沒app檔名的跳出視窗、要求不必要的存取權限、奇怪的UI或按了沒動靜的按鍵等。


Advertisement

更多 iThome相關內容